A Checkmarx új kutatása szerint a rosszindulatú támadók egy népszerű TikTok-kihívást használnak fel arra, hogy a felhasználókat információlopó kártevők (malware-ek) letöltésére vegyék rá.
Az “Invisible Challenge” nevű trend az “Invisible Body” nevű szűrő alkalmazását jelenti, amely csak a személy testének sziluettjét láttatja a videókban.
De az a tény, hogy az ilyen videókat készítő felhasználók így ruha nélkül videózhatják magukat, mégsem látják őket, egy olyan átverési rendszerhez vezetett, amelyben a támadók olyen TikTok videókat tesznek közzé “unfilter" (filter leszedő) elnevezésű szélhámos szoftverekre mutató linkekkel, amelyek állítólag eltávolítják az alkalmazott szűrőket - így téve láthatóvá a meztelen személyeket.
“Az unfilter szoftver beszerzésére vonatkozó utasítások rosszindulatú Python csomagokba rejtett WASP stealer malware-t telepítenek" - írta Guy Nachshon, a Checkmarx kutatója elemzésében.
A WASP stealer (más néven W4SP Stealer) egy olyan kártevő, amelyet arra terveztek, hogy ellopja a felhasználók jelszavait, Discord fiókjait, kriptopénztárcáit és más érzékeny információkat.
A támadók: a @learncyber és a @kodibtc által 2022. november 11-én közzétett TikTok-videók, a becslések szerint több mint egymillió megtekintést értek el. A fiókokat felfüggesztették.
A videóban szerepel egy meghívó link is a támadók által kezelt Discord szerverre, amelynek közel 32 000 tagja volt, mielőtt jelentették és törölték. A Discord-szerverhez csatlakozó áldozatok ezt követően egy linket kapnak egy GitHub-tárhelyre, amely a kártevőnek adott otthont.
A támadó azóta átnevezte a projektet "Nitro-generator"-ra, de nem előbb, minthogy a GitHub 2022. november 27-i “Trending repositories” listáján landolt volna azzal, hogy a Discordon az új tagokat a projekt újraindítására a buzdította.
Az adattár nevének megváltoztatásán kívül a támadó törölte a projekt régi fájljait, és újakat töltött fel, amelyek közül az egyik még a frissített Python kódot is így írta le: “It's open source, it’s not a VIRUS” (Ez nyílt forráskódú, ez nem VÍRUS). A GitHub-fiókot mostanra visszavonták.
A lopott kódot állítólag különböző Python-csomagokba ágyazták be, például a "tiktok-filter-api", "pyshftuler", "pyiopcs" és "pydesings" csomagokba, és a szereplők gyorsan új cseréket tettek közzé a Python Package Indexen (PyPI) különböző nevek alatt, miután eltávolították azokat.
"A szoftverellátási lánc támadói által alkalmazott manipuláció szintje egyre nő, ahogy a támadók egyre ügyesebbek lesznek" - jegyezte meg Nachshon. "Ezek a támadások ismét azt mutatják, hogy a kibertámadók a nyílt forráskódú csomagok ökoszisztémájára is elkezdték összpontosítani a figyelmüket.”
Forrás: The hacker news